Die NIS2-Richt­li­nie (Net­work and Infor­ma­ti­on Secu­ri­ty, zwei­te Fas­sung) wur­de am 27. Dezem­ber 2022 im Amts­blatt der EU ver­öf­fent­licht und ist durch das NIS2-Umset­zungs­ge­setz (NIS2UmsuCG) in deut­sches Recht umge­setzt wor­den. Sie ersetzt die ursprüng­li­che NIS-Richt­li­nie von 2016 und erwei­tert den Anwen­dungs­be­reich erheb­lich: In Deutsch­land fal­len schät­zungs­wei­se über 30.000 Unter­neh­men und Behör­den unter NIS2 — dar­un­ter vie­le, die sich bis­her nicht als kri­ti­sche Infra­struk­tur ein­ge­stuft hatten.

Betrof­fen sind wesent­li­che Ein­rich­tun­gen (Ener­gie, Trans­port, Bank­we­sen, Gesund­heits­we­sen, Trink­was­ser, digi­ta­le Infra­struk­tur, öffent­li­che Ver­wal­tung) und wich­ti­ge Ein­rich­tun­gen (Post, Abfall­wirt­schaft, Che­mie, Lebens­mit­tel, ver­ar­bei­ten­des Gewer­be, For­schung). Die Grö­ßen­schwel­le liegt grund­sätz­lich bei 50 Mit­ar­bei­tern und 10 Mio. EUR Umsatz — für bestimm­te Sek­to­ren gilt NIS2 größenunabhängig.

§30 NIS2UmsuCG (Risi­ko­ma­nage­ment-Maß­nah­men) for­dert kon­kret: Back­up-Manage­ment und Wie­der­her­stel­lung, Kri­sen­ma­nage­ment, Sicher­heit der Lie­fer­ket­te, Inci­dent Hand­ling, Busi­ness Con­ti­nui­ty sowie Schwach­stel­len­ma­nage­ment. Ent­schei­dend ist: NIS2 for­dert nicht nur Maß­nah­men, son­dern deren Nach­weis. Eine soft­ware­ba­sier­te Back­up-Lösung, deren Schutz durch Admin-Rech­te deak­ti­viert wer­den kann, ist kein aus­rei­chen­der Nach­weis für phy­sisch iso­lier­tes Backup.

§38 NIS2UmsuCG regelt die per­sön­li­che Haf­tung der Lei­tungs­or­ga­ne: Geschäfts­füh­rer und Vor­stän­de müs­sen Cyber­si­cher­heits­maß­nah­men nicht nur geneh­mi­gen, son­dern aktiv über­wa­chen. Sie kön­nen sich nicht auf Unkennt­nis beru­fen, wenn kei­ne aus­rei­chen­de Infor­ma­ti­ons­struk­tur auf­ge­baut wur­de. Buß­gel­der: bis zu 10 Mio. EUR oder 2 % des welt­wei­ten Jah­res­um­sat­zes für wesent­li­che Einrichtungen.

Fragen und Antworten

Wesentliche Einrichtungen aus den Sektoren Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasser, digitale Infrastruktur und öffentliche Verwaltung sowie wichtige Einrichtungen aus Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe und Forschung. Grundsätzlich ab 50 Mitarbeitern und 10 Mio. EUR Umsatz — in bestimmten Sektoren (z. B. Gesundheit, Energie) ohne Größenschwelle. Das BSI betreibt eine Selbstauskunftspflicht und Registrierungspflicht für betroffene Einrichtungen.
§30 NIS2UmsuCG verlangt Backup-Management und Wiederherstellung als explizite Mindestmaßnahme. Dazu gehören: dokumentierte Backup-Strategien und -Verfahren, regelmäßige Wiederherstellungstests mit dokumentierten Ergebnissen sowie physisch isoliertes Backup, das auch bei kompromittierten Administrator-Credentials nicht vernichtbar ist. Ein physischer Air Gap ist das stärkste verfügbare Mittel, um diese Anforderung nachzuweisen.
Das NIS2-Umsetzungsgesetz erfasst nach aktuellem Stand Kommunen mit mehr als 10.000 Einwohnern sowie alle Bundes- und Landesbehörden. Auch kleinere Kommunen sollten vergleichbare Maßnahmen umsetzen, da die Haftung von Leitungsorganen im Schadensfall zunehmend in den Fokus rückt.